Schlagwort-Archiv: Datensicherheit

Immer mehr Hackerangriffe in Deutschland

Logo Hubit-DatenschutzMan liest es immer wieder. Die Anzahl der Angriffe auf Firmennetzwerk erhöht sich ständig. Wie stark sich die Anzahl der Angriffe erhöht ist immer mit einer Schätzung oder Hochrechnung verbunden. Nun hat die Telekom endlich konkrete Zahlen veröffentlicht.

Die Telekom stellte sogenannte Honeypots (engl. für Honigtopf) auf. Das sind Fallen für Hacker. Insgesamt ist von nur 55 Honeypots die Rede. Die Telekom stellte diese Systeme auf, um zum einen die Häufigkeit von Angriffe zu ermitteln aber sicherlich auch um die Herangehensweisen der Hacker zu analysieren. Vor ca. zwei bis drei Jahren soll es bereits 15.000 (!) Angriffe pro Monat gegeben haben. Diese Zahl allein ist bereits erschreckend. „Jetzt sind es bis zu hunderttausende – jeden Tag.“, wird Herr Clemens, Chef der Telekom Tochter T-Systems, auf sueddeutsche.de zitiert.

Diese Anzahl ist nicht mehr erschreckend. Diese Zahlen sind vernichtend.

Wie sicher sind Ihre Systeme vor Angriffen aus dem Internet? Die Firma HUBIT – Datenschutz aus Bremen kann Ihre Systeme analysieren und mögliche Gefährdungspunkte erkennen. Informieren Sie sich jetzt.

Apple-Mitbegründer warnt vor Cloud

Logo Hubit-DatenschutzApple-Mitgründer Steve Wozniak meint, die Cloud werde furchtbare Probleme bringen. Welche Probleme dies sein könnten zeigt der Fall eines amerikanischen Journalisten, dessen iCloud-Konto durch Hacker mit einem simplen Trick aufgebrochen wurde.

Der Nutzen der Cloud Weitere Infos im Lexikonist groß und birgt viele Verlockungen.

Aber zurück zum Fall des Journalisten Mat Honan

Mat Honan bemerkte zufällig, dass sich sein iPhone ausschaltete und neustartete. Jedoch wurde er nicht durch sein bekannten Startbildschirm begrüßt, sondern durch den Installationsassistenten. Er wunderte sich, dachte aber an eine technische Störung und wollte seine Daten wiederherstellen, indem er sie aus der Cloud runterladen wollte. Jedoch wurde ihm der Zugriff verwehrt.

Er wollte über ein anderes Gerät auf die Cloud zugreifen. Dort wurde er aufgefordert einen PIN-Code einzugeben um die Daten zu entschlüsseln. Eine Solche PIN-Abfrage hatte er zuvor nicht gesehen oder installiert. Das Ipad verweigert ebenso seinen Dienst, wie das iPhone.
Jetzt wurde ihm klar, dass wohl Hacker am Werk gewesen seien.
Weitere Recherchen zeigten, dass auch sein Email- und Twitter-Account einer feindlichen Ãœbernahmen unterlagen.

Aber wie konnte all das geschehen. Mat Honan vermutet, dass es sich hierbei um einen Fall von Social Engineering (LINK zu Lexikon) handelte. Der Hacker hatte vermutlich Daten über den Journalisten gesammelt. Mit diesen Daten hat er sich vermutlich gegenüber dem Apple-Support als Mat Honan ausgegeben und so Zugriff auf die Daten erlangt. Hatte der Hacker erst Zugriff auf die iCloud hatte er hierüber auch Zugriff auf die Emailkonten und weitere Konten, wie z.B. Twitter.

Der entstandene Schaden kann nicht beziffert werden. Die Daten, wie Fotos, Dokumente etc., sind gelöscht und können nicht wiederhergestellt werden.

Tipps zum richtigen Umgang mit der Cloud

Der Datenschutzexperte Haye Hösel der Firma HUBIT rät die folgenden Punkte zu beachten:

Nutzen Sie die Cloud nicht aus reiner Bequemlichkeit. Nutzen Sie die Cloud nur, wenn es keine andere Lösung gibt.

Holen Sie sich Rat durch einen Datenschutzberater oder einen IT-Sicherheitsberater.

Suchen Sie sich einen europäischen Cloud-Anbieter, der Ihnen garantiert, dass die Daten in Europa gespeichert werden.

Auch Daten, die in der Cloud gespeichert werden, sollten in die Planung für eine regelmäßige Datensicherung einbezogen werden.

Wenn Sie als Unternehmen, Gewerbetreibender, Freiberufler, Verein etc. personenbezogene Daten in der Cloud speichern möchten, ist eine Vorabkontrolle durch den Datenschutzbeauftragten erforderlich. Wird keine Vorabkontrolle durchgeführt drohen hohe Bußgelder.

Speichern Sie keine Passwörter in der Cloud.

Verknüpfen Sie Ihren Cloud-Account mit keinem anderen Account, wie z.B. Facebook, Twitter oder Ihrer Email. Die Verknüpfung zwar eine komfortable Lösung, weil Sie sich nicht in jeden Account einzeln einloggen müssen, aber es birgt auch ein hohes Risiko, wie man an dem geschilderten Fall erkennen kann.

Viele Magentoshops sind unsicher

Logo Hubit-DatenschutzAnfang Juli wurde ein Problem im sogenannten Zend-Framework bekannt. Das Framework ist eine Sammlung von „Programmiervorlagen“, die von vielen Anbietern verwendet werden. Sie vereinfachen die Arbeit der Programmierer. Das Framework wird unter anderem auch in Magentoshops eingesetzt.

Wenn die XMLRPC-Schnittstelle aktiviert ist, können Angreifer die Inhalte aller Dateien auslesen. Inklusive der Passwortdateien, mit denen Sie dann wieder Zugriff auf die Datenbank und eventuell sogar das Emailsystem bekommen.

Das einzige, was hier hilft, ist ein Patch bzw. Update auf die neuste Version. Leider sind immer noch viele Magentoshops ungepatcht, wie auch auf golem.de zu lesen war. Nicht nur bei Magentoshops auch bei jeglicher anderer Software ist es wichtig, die aktuellen Sicherheitspatches einzuspielen.

Haftungsrisiko für WLan –Betreiber

Logo Hubit-DatenschutzWer sein WLan anderen zur Verfügung stellt geht rechtliche Risiken ein. Dies betrifft zum Beispiel auch Gastwirte, Ladenbesitzer oder Campingplätze, die Ihren Kunden bzw. Gästen einen Internetzugang zur Verfügung stellen. Im Rahmen der sogenannten Störerhaftung kann der der Anschlussinhaber – also der Betreiber des WLans – für Straftaten der Nutzer zur Rechenschaft gezogen werden oder zumindest in die Mithaftung genommen werden.

Stellt zum Beispiel ein Kunde Musikdateien zum Download bereit, während er das WLan einer Gaststätte nutzt, so kann der Gastwirt hierfür haftbar gemacht werden.

Aus Sicht des Datenschützers ergeben meist noch weitere Aspekte. In vielen Fällen wird das Firmennetzwerk nicht von dem Besuchernetzwerk getrennt. Somit besteht für den Besucher des WLan eventuell die Möglichkeit auf Firmendaten des WLan-Betreibers zuzugreifen. Datenschutzberater der Firma HUBIT beraten Sie gern zu Risiken und möglichen Absicherungsmaßnahmen für Ihr Firmen-WLan.

Auf zig-Millionen PC ist dringendes Update erforderlich!

Java UpdateIn bestimmten Kreisen war schon lange die Rede davon, dass es eine Sicherheitslücke in der Java-Plattform gebe. Der Hersteller Oracle hatte hierzu eine Zeit lang geschwiegen. Nun hat Oracle bekannt gegeben, dass es eine Sicherheitslücke in Java gibt und ein Update bereitgestellt.

Java ist für viele Programmierer (auch für Internetseiten) sehr beliebt. Leider auch bei denen, die die Technik kriminell einsetzen. So sollen bereits (infiltrierte / kriminelle) Internetseiten diese Sicherheitslücken ausnutzen, um Schadcode einzuschleusen. Vier Sicherheitslücken sollen nun durch das Java-Update geschlossen werden. Weltweit sollen laut Oracle mehrere Milliarden Geräte mit Java installiert sein. In Deutschland sind vermutlich zig Millionen PC´s, Notebooks und andere Geräte betroffen.

Dieses Update installiert sich in den meisten Fällen nicht von alleine! Die meisten Nutzer sollten durcheine Meldung auf das Update hingewiesen werden. Darauf sollten Sie nicht warten! Laden Sie sich das Java Update von der Herstellerseite runter

In den meisten Fällen ist es erforderlich, dass zunächst die alte Version deinstalliert wird. Sollten Sie weitere Fragen zur Systemverträglich, Installation oder Deinstallation haben, wenden Sie sich bitte an Ihren IT-Dienstleister bzw. Administrator.

In der Installation wird gefragt, ob Sie eine Toolbar installieren wollen (siehe Bild unten). Diese ist nicht zwingend erforderlich. Wenn Sie die Toolbar nicht wünschen entfernen Sie den Haken. In vielen Fällen sammeln Toolbars Nutzerdaten. Wie diese Toolbar arbeitet ist uns nicht bekannt.

Was ist eine Vorabkontrolle?

Logo Hubit-DatenschutzEine Vorabkontrolle wird vor der Einführung eines Verfahrens durchgeführt. Eine Vorabkontrolle gem. Bundesdatenschutzgesetz (BDSG) ist durch einen Datenschutzbeauftragten durchzuführen.

Wann ist eine Vorabkontrolle erforderlich?
Das BDSG nennt nur zwei Sachverhalte, die eine Vorabkontrolle in jedem Falle erfordern. Die Verarbeitung von besonderen Arten personenbezogener Daten macht eine Vorabkontrolle erforderlich. Ebenso ist sie zwingend vorgeschrieben, wenn personenbezogene Daten dazu bestimmt sind, die die Persönlichkeit (Fähigkeiten, Leistung, Verhalten) des Betroffenen zu bewerten.

Zwei Paradebeispiele, die einer Vorabkotrolle erforderlich machen, sind Videoüberwachung und GPS-Ortung.
Grundsätzlich kann man sagen: Ist sich ein Unternehmen nicht sicher, ob eine Vorabkontrolle erforderlich ist, sollte der Datenschutzbeauftragte befragt werden. Ist kein Datenschutzbeauftragter in dem Unternehmen bestellt, sollten Sie sich Rat bei HUBIT holen. Wir beraten Sie zu datenschutzrechtlichen Fragen.

Was macht man, wenn keine Vorabkotrolle durchgeführt wurde?
In vielen Unternehmen ist nicht bekannt, dass eine Vorabkontrolle erforderlich, wenn z.B. Video- oder GPS-Technik eingesetzt wird. Erfolgte keine Vorabkontrolle (vor der Inbetriebnahme), so ist diese Datenverarbeitung illegal.
Eine nachträgliche Kontrolle ist möglich. So können Sie Ihre Datenverarbeitung (für die Zukunft) legalisieren.

Schaden für Unternehmen durch Social Media möglich?

Logo Hubit-DatenschutzSocial Media ist der Trend der letzten Jahre im Internet. Plattformen wie z.B. Twitter, Facebook, Google etc. bieten vielfältige Möglichkeiten zum Informationsaustausch. Viele Unternehmen nutzen mittlerweile diese Dienste für Marketing Kampagnen. Doch bringen diese Dienste nur Vorteile?

Es ist wie mit allen Dingen im Leben. Jede Sache hat zwei Seiten. Es gibt natürlich auch eine negative Seite. Aus technischer Sicht sind hierzu schon viele Artikel veröffentlicht worden, in den z.B. Facebook für das Auspionieren der Benutzer angeprangert wurde. Darum soll es in dieser Datenschutz-News nicht gehen.
Es geht um ansehensschädigende Beiträge und Industriespionage mittels Social Engineering. Beim Social Engineering Weitere Infos im Lexikon wird die größte Schwachstelle im System für die Informationsgewinnung genutzt.
Der Mensch.

Die Menschheit ist das, was sie ist, durch das Sprechen geworden. Das Austauschen von Informationen ist ein wichtiger Baustein in unserem Sein. So verwundert es nicht, dass alle gern über dies und das sprechen. In der Vergangenheit war es kein so großes Problem, wenn man seinen Freunden in geselliger Runde ein paar lustige Geschichten aus dem Geschäftsalltag erzählte oder sich negativ über seinen Arbeitgeber ausgelassen hat. Das meiste blieb in der Runde und die meisten Informationen gerieten mit der Zeit in Vergessenheit.

Heute sieht dies anders aus. Es gibt das Internet und eine Vielzahl an Möglichkeiten sich über Foren, Social Media Plattformen und andere Portale auszutauschen. Aber wo ist der Unterschied?
Es gibt zwei gravierende Unterschiede. Zum einen bleiben geschriebene Worte im Internet sehr lange gespeichert und werden selten gelöscht. Es ist sozusagen für die Ewigkeit geschrieben. Zum anderen wird selten darauf geachtet, dass nur eine bestimmte Personengruppe diese Beiträge liest.

Die Mitarbeiter müssen dafür sensibilisiert werden, dass sie nicht alles im Internet veröffentlichen. Auch das bayrische Landesamt für Verfassungsschutz warnt vor den Gefahren durch Internetplattformen.

Mitarbeiter sollten in Schulungen sensibilisiert werden. Weiterhin sollte ihnen vermittelt werden, wie sie ihre Privatsphäre-Einstellungen konfigurieren sollten. Schulungen von HUBIT zum richtigen Umgang mit sozialen Netzwerken, dem Internet und Unternehmensdaten können Sie individuell für Ihre Bedürfnisse durchführen lassen.

Dass sich Mitarbeiter negativ über Ihren Arbeitgeber auslassen ist sicherlich nicht angenehm. Aber auch hier sollte man sich der Kritik stellen und beurteilen, wieso der Mitarbeiter so unzufrieden ist, dass er (wissentlich oder unwissentlich) seinem Arbeitgeber Schaden zufügt.

Schlimmer ist hingegen, wenn unternehmensinterne Informationen im Internet veröffentlicht werden.
Zu Zeiten des Kalten Krieges wurde viel Wert auf Sicherheit und Schutz vor Industriespionage gelegt. Heute wird dieses Thema stiefmütterlich behandelt. Aber Industriespionage ist immer noch weit verbreitet. Jedoch wird sie heute mit ganz anderen Mitteln umgesetzt. Facebook, Google und andere Plattformen bieten genügend Raum für Klatsch und Tratsch. Jeder hat zig oder hunderte von Freunden, denen er alles mitteilt.

Aber sind das wirklich Freunde?
Wie gut kennt man seine „Freunde“ und „Follower“? Oder hat man sie nur seiner Liste hinzugefügt, weil sie nett waren, aussahen oder sich als Freund eines Freundes ausgaben?
Man sollte immer genau überlegen, wem man welche Informationen mitteilt – insbesondere im Internet.

Industriespionage hat mit den neuen Medien eine neue Grundlage gefunden, um einfach an Informationen zu gelangen. Social Engineering wird damit so einfach…!

Seien Sie zurückhaltend. Überlegen Sie sich genau, welche Information sie preisgeben möchten. Entscheiden Sie sich für einen sicheren Kanal. Es muss nicht immer jeder alles wissen.

Was ist Phishing?

Logo Hubit-DatenschutzPhishing ist ein Kunstwort, dass sich aus verschiedenen Wörtern ableitet. Hier ist zunächst fishing (das englische Wort für Angeln) zu nennen. Das P am Anfang steht für Password (zu deutsch: Passwort). Das erste H soll für Harvesting (auf deutsch: Ernte) stehen.

Das Prinzip ist relativ einfach. Der Phisher legt einen Köder aus. Dann wird versucht, dem geköderten Internetuser sensible Informationen zu entlocken, wie z.B. Zugangsdaten für Online Banking, Webserver oder Emailkonten.

Es ist somit eine Art des Social Engineering

In der Regel beginnt alles mit einer Email oder Nachricht über einen Messenger (Chatprogramm). Eine solche Email ist meist professionell aufgemacht und versucht das Erscheinungsbild, z.B. einer Bank, nachzuahmen. In der Email wird von einem Fehler oder einem wichtigen Ereignisse gesprochen, dass dem Leser vermittelt, dass er schnell handeln müsse, damit er diese Gefahr abwenden kann. Es wird bewusst Zeitdruck ausgeübt, damit der Betroffene nicht so viel Zeit zum Nachdenken hat. In der Email ist dann meist ein Link zu der vermeintlichen Bank (um bei dem Beispiel zu bleiben). Die Internetadresse sieht der echten Internetadresse meist ähnlich oder ist nicht sichtbar.

Klick nun der Betroffene auf diesen Link kommt er zu einer Webseite, die der echten Webseite der Bank sehr ähnlich sieht. Er wird auf der Webseite freundlichen Empfangen und gegebenenfalls nochmals auf die Gefahren hingewiesen, damit er weiterhin den zeitlichen Druck verspürt und nicht mit dem Denken beginnt.

Hier wird er nun aufgefordert seine Zugangsdaten einzugeben, damit er sich einloggen kann oder damit das Problem direkt behoben werden kann.

Die so abgefangenen Zugangsdaten werden später von dem Phisher verwendet, um Geld von dem Konto des Betroffenen auf eines seiner Konten zu übermitteln.

Es muss sich aber nicht zwingend um eine Bank handeln es gibt auch viele andere Beispiele, wie eine Phishing Attacke aussehen kann. So kann es auch sein, dass man aufgefordert wird, die vermeintliche Service Hotline anzurufen. In Wirklichkeit ist dies natürlich nicht die Service Hotline sondern der Phisher. Am Telefon werden dann ebenfalls sensible Informationen abgefragt. Es müssen nicht zwingend Zugangsdaten für eine Bank sein. Auch andere Zugangsdaten können interessant sein. Kreditkarteninformationen sind ebenfalls sehr beliebt.

Die Variationsmöglichkeiten beim Phishing sind vielfältig. Seien Sie in jedem Fall skeptisch. Wenn Sie sich nicht sicher sind, ob diese Email wirklich von Ihrer Bank, Kreditinstitut oder Geschäftspartner ist, dann fragen Sie dort nach. Aber bitte nehmen Sie nicht die Rufnummer aus der Email! Nehmen Sie die Rufnummer aus Ihrem Telefonbuch. Oder leiten Sie die Email an Ihren Sachbearbeiter weiter, damit der Ihnen die Echtheit bestätigen kann.

Was ist Clickjacking?

Logo Hubit-DatenschutzClickjacking ist eine ganz raffinierte Technik, die von Hackern eingesetzt wird, um das System zu manipulieren.
Im Prinzip werden die Klicks entführt. Der Benutzer denkt er würde sich auf einer Webseite befinden. Wenn er auf einen Link klickt, dann sieht es für ihn ganz gewöhnlich aus.

Aber was passiert nun wirklich?

Das Hackerprogramm legt (für den Benutzer unsichtbar) Schaltflächen hinter den Link. Das heißt, dass der Benutzer glaubt auf einen Link zu klicken, doch in Wirklichkeit wird diese unsichtbare Schaltfläche angeklickt.

Was sind das für Schaltflächen?

Das kann sehr unterschiedlich sein. Es kann sein, dass dadurch ein Programm installiert wird oder Einstellungen in der Systemsteuerung geändert werden. So kann z.B. das Mikrofon eingeschaltet werden oder das Antivirenprogramm deaktiviert werden.

Ein Schutz gegen Clickjacking ist für den Benutzer schwer umzusetzen. Das eigentliche Problem liegt in dem Aufbau von JavaScript.

Der mögliche Schutz kann eigentlich nur von Fachleuten umgesetzt werden. Hier sind zum einen die Hersteller von Browser, wie z.B. Internet Explorer, Firefox oder Opera gefordert und zum anderen die Entwickler von Webanwendungen.
Die Entwickler müssen den Header X-Frame-Option mit bestimmten Werten senden. Die meisten Browser unterstützen diesen Header mittlerweile. Doch leider nicht alle.

Dem Benutzer kann nur geraten werden, einen aktuellen Webbrowser zu verwenden.

Fachleute warnen vor steigender Internetkriminalität

Logo Hubit-DatenschutzNachdem bereits verschiedene Fachleute vor der Steigerung von Internetkriminalität und Cyber-Angriffen gewarnt hat, hat sich nun auch Jonathan Evans zu Wort gemeldet. Der Chef des englischen Geheimdienstes MI5 sagte, wie auf heise-online zu lesen war, das Ausmaß dessen, was dort vor sich ginge, sei erstaunlich.

Cyber-Angriffe, können unterschiedliche Intentionen haben. Zum einen gibt die klassische Spionage, in der der eine Staat versucht geheime Informationen des anderen Staates zu erlangen. Aber auch die Wirtschaftsspionage darf hierbei nicht unterschätzt werden. Auch nach dem kalten Krieg ist dies immer noch aktuell, auch wenn es nicht mehr in aller Munde ist. Das Internet und die Leichtfertigkeit im Umgang mit Daten macht es den Kriminellen leicht an die gewünschten Informationen zu langen.

Nach vielen Jahren, in den es um Konstruktionspläne, Erfindungen und betriebsinterne Abläufe ging, geht es heute auch um Kundendaten. Wie sicher ein Internetshop seine Daten wirklich aufbewahrt, kann ein Kunde nicht beurteilen (siehe hierzu Sonderbeilage eCommerce in Die Welt vom 22.06.2012). Selbst die Betreiber unterschätzen zeitweise das Risiko oder sind sich dessen nicht bewusst. Auch bei sorgfältiger Programmierung des Shopsystems können sich Fehler einschleichen.

Wir, die Firma HUBIT, bieten Ihnen die Möglichkeit, mögliche Angriffszeile in Ihrer Shopsoftware aufzudecken.

Die Zahl der Cyber-Angriffe steigt stetig an. Prinzipiell ist es unerheblich, ob der Angreifer ein kriminelles Ziel verfolgt oder das Ziel der Staatsspionage dient. Wichtig ist allein, dass es jede Internetseite, jedes Internetportal und jeden Internetshop betreffen kann. Die Palette der möglichen Angriffe ist breit gefächert und geht vom Einschleusen schadhaften Codes bis zum Auslesen von Kunden- und Kreditkarteninformationen.

Ãœbrigens:

Wenn Google oder andere Suchmaschinen erkennen, dass eine Internetseite mit schadhaftem Code infiltriert wurde, kann es vorkommen, dass diese Seite nicht mehr in den Google-Suchergebnissen angezeigt wird.